InspectWP Logo
Anleitung

Cookie Consent in WordPress einrichten (DSGVO)

8. Februar 2026

Nach europaeischem Datenschutzrecht darfst du keine Tracking-Cookies, Analytics-Cookies oder Marketing-Cookies im Browser eines Besuchers setzen, ohne dessen ausdrueckliche, informierte Einwilligung. Das ist nicht optional, und Verstoesse werden mit ernsthaften Bussgeldern geahndet. Die gute Nachricht ist, dass die Einrichtung einer korrekten Cookie-Consent-Loesung in WordPress etwa 30 Minuten dauert, sobald du die Anforderungen verstehst. Dieser Leitfaden behandelt die rechtliche Grundlage, die technische Umsetzung und haeufige Fehler, die dich in Schwierigkeiten bringen koennen.

Was die DSGVO und die ePrivacy-Richtlinie tatsaechlich verlangen

Zwei EU-Rechtsvorschriften regeln den Umgang von Websites mit Cookies. Die DSGVO (Datenschutz-Grundverordnung) legt die Regeln fuer die Verarbeitung personenbezogener Daten fest, waehrend die ePrivacy-Richtlinie (oft "Cookie-Richtlinie" genannt) speziell die Speicherung von Informationen auf dem Geraet eines Nutzers behandelt. Zusammen schaffen sie einen klaren Rahmen:

  • Artikel 6 DSGVO (Rechtmaessigkeit): Du brauchst eine Rechtsgrundlage fuer die Verarbeitung personenbezogener Daten. Fuer Cookies, die Nutzer tracken, ist die relevante Grundlage die Einwilligung nach Artikel 6(1)(a). Das berechtigte Interesse (Artikel 6(1)(f)) gilt laut den meisten europaeischen Datenschutzbehoerden nicht fuer nicht-essenzielle Cookies.
  • Artikel 7 DSGVO (Bedingungen fuer die Einwilligung): Die Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein. Es muss ein aktives Opt-in sein (keine vorangekreuzten Kaestchen). Der Widerruf der Einwilligung muss genauso einfach sein wie deren Erteilung.
  • ePrivacy-Richtlinie (Artikel 5 Absatz 3): Das Speichern oder der Zugriff auf Informationen auf dem Geraet eines Nutzers (einschliesslich Cookies, localStorage und aehnlicher Technologien) erfordert eine vorherige Einwilligung, es sei denn, das Cookie ist unbedingt erforderlich fuer den Dienst, den der Nutzer ausdruecklich angefordert hat.

In der Praxis bedeutet das: kein Analytics, keine Marketing-Pixel, keine Social-Media-Embeds, keine eingebetteten Videos von Drittanbietern und keine Werbe-Cookies, bis der Nutzer auf "Akzeptieren" klickt. Unbedingt notwendige Cookies (wie Session-Cookies fuer einen Warenkorb oder Authentifizierungs-Cookies) benoetigen keine Einwilligung.

Cookie-Kategorien verstehen

Eine korrekte Consent-Implementierung kategorisiert Cookies in Gruppen, damit Nutzer granulare Entscheidungen treffen koennen. Hier sind die Standardkategorien:

  • Unbedingt erforderlich (Essenziell): Cookies, die fuer die grundlegende Seitenfunktionalitaet benoetigt werden. Beispiele sind Session-Cookies (z.B. WordPress-Login-Cookie wordpress_logged_in_*), WooCommerce-Warenkorb-Cookies, CSRF-Tokens und das Cookie-Consent-Praeferenz-Cookie selbst. Diese benoetigen keine Einwilligung und koennen vom Nutzer nicht abgelehnt werden.
  • Funktional (Praeferenzen): Cookies, die Nutzerpraeferenzen wie Sprachauswahl, Theme-Praeferenz oder Region speichern. Diese sind nicht unbedingt erforderlich, verbessern aber das Nutzererlebnis. Sie benoetigen eine Einwilligung.
  • Analyse (Statistiken): Cookies, die von Tools wie Google Analytics, Matomo oder Plausible gesetzt werden und messen, wie Besucher deine Seite nutzen. Selbst "anonyme" Analytics-Cookies erfordern in der EU typischerweise eine Einwilligung, es sei denn, du verwendest ein datenschutzfreundliches Tool, das gar keine Cookies setzt (wie Plausible oder Fathom im Cookieless-Modus).
  • Marketing (Werbung): Cookies von Werbenetzwerken, Retargeting-Plattformen und Social-Media-Pixeln (Facebook Pixel, Google Ads, LinkedIn Insight Tag). Diese erfordern immer eine Einwilligung.

Complianz einrichten (empfohlen fuer die meisten Seiten)

  1. Installiere Complianz - GDPR/CCPA Cookie Consent aus dem WordPress-Plugin-Verzeichnis.
  2. Fuehre den Einrichtungsassistenten durch. Complianz fragt nach deinem Unternehmensstandort, den Regionen, die du bedienst, und welche Drittanbieter-Dienste du nutzt. Antworte ehrlich, da der Assistent deine Cookie-Richtlinie und Consent-Konfiguration basierend auf diesen Antworten generiert.
  3. Das Plugin scannt deine Seite automatisch, um Cookies zu erkennen. Ueberpruefen die Scan-Ergebnisse und kategorisiere alle Cookies, die nicht automatisch identifiziert werden konnten.
  4. Konfiguriere das Consent-Banner-Design unter Complianz > Consent Banner. Waehle zwischen einem Banner oben oder unten, einem zentrierten Popup oder einem Seitenpanel. Stelle sicher, dass der "Alle ablehnen"-Button genauso prominent ist wie der "Alle akzeptieren"-Button (das ist eine rechtliche Anforderung).
  5. Aktiviere Script-Blocking. Complianz kann bekannte Skripte (Google Analytics, Facebook Pixel, YouTube-Embeds) automatisch blockieren, bis der Nutzer seine Einwilligung gibt. Gehe zu Integrationen und ueberpruefe, ob deine Drittanbieter-Dienste aufgelistet sind.
  6. Fuer benutzerdefinierte Skripte, die Complianz nicht erkennt, umschliesse sie mit dem Complianz-Platzhalter. Aendere den Script-Typ von text/javascript auf text/plain und fuege ein data-category-Attribut hinzu.
  7. Teste, indem du deine Seite in einem Inkognito-Fenster oeffnest. Vor dem Akzeptieren von Cookies ueberpruefen, ob keine Analytics- oder Marketing-Skripte geladen werden (pruefe den Network-Tab in den Browser-DevTools). Nach dem Akzeptieren sicherstellen, dass die Skripte korrekt laden.

Real Cookie Banner einrichten (beste Wahl fuer den DACH-Raum)

Real Cookie Banner ist ein deutsches Plugin, das einen dienstbasierten Ansatz statt eines cookiebasierten Ansatzes verfolgt. Statt einzelne Cookies zu kategorisieren, konfigurierst du jeden Dienst (Google Analytics, YouTube, Google Maps usw.) und das Plugin erledigt den Rest. Dieser Ansatz passt gut zur deutschen Auslegung der DSGVO.

  1. Installiere Real Cookie Banner aus dem WordPress-Plugin-Verzeichnis.
  2. Fuehre den Einrichtungsassistenten durch. Das Plugin enthaelt eine grosse Datenbank mit vorkonfigurierten Dienst-Vorlagen, sodass du Cookie-Namen oder Aufbewahrungsfristen fuer gaengige Dienste nicht manuell eingeben musst.
  3. Fuer jeden erkannten Dienst liefert das Plugin rechtlich gepruefe Beschreibungen, Datenverarbeitungsdetails und Cookie-Informationen. Ueberpruefen diese und passe sie bei Bedarf an.
  4. Konfiguriere das Consent-Banner-Layout. Real Cookie Banner bietet umfangreiche Anpassungsoptionen fuer Farben, Button-Stile und Texte.
  5. Das Plugin generiert einen Content-Blocker fuer eingebettete Inhalte (YouTube-Videos, Google Maps, Social-Media-Embeds). Besucher sehen einen Platzhalter mit einer Consent-Aufforderung anstelle des eingebetteten Inhalts.

CookieYes einrichten

  1. Installiere CookieYes | GDPR Cookie Consent aus dem WordPress-Plugin-Verzeichnis oder melde dich bei cookieyes.com an.
  2. Fuehre den automatischen Cookie-Scan durch. CookieYes identifiziert Cookies auf deiner Seite und kategorisiert sie.
  3. Passe das Banner-Erscheinungsbild, Button-Farben und Texte im CookieYes-Dashboard an.
  4. Konfiguriere Script-Blocking fuer jede Cookie-Kategorie. CookieYes unterstuetzt sowohl automatisches als auch manuelles Script-Blocking.
  5. CookieYes bietet auch einen Cookie-Richtlinien-Generator, den du auf deiner Datenschutzseite einbetten kannst.

Google Consent Mode v2 Integration

Wenn du Google-Dienste verwendest (Analytics, Ads, Tag Manager), musst du Google Consent Mode v2 implementieren. Seit Maerz 2024 verlangt Google Consent Mode fuer Seiten, die Werbung an Nutzer im EWR (Europaeischer Wirtschaftsraum) ausliefern. Ohne ihn sammelt Google Ads keine Daten von Nutzern im EWR.

Consent Mode v2 fuehrt zwei neue Parameter zusaetzlich zu den urspruenglichen ein:

  • ad_user_data: Steuert, ob Nutzerdaten fuer Werbezwecke an Google gesendet werden duerfen.
  • ad_personalization: Steuert, ob personalisierte Werbung (Remarketing) erlaubt ist.
  • analytics_storage: Steuert, ob Analytics-Cookies gesetzt werden duerfen.
  • ad_storage: Steuert, ob Werbe-Cookies gesetzt werden duerfen.

Alle drei empfohlenen Plugins (Complianz, Real Cookie Banner, CookieYes) unterstuetzen Google Consent Mode v2 out of the box. Stelle sicher, dass du es in den Plugin-Einstellungen aktivierst. Wenn ein Nutzer keine Einwilligung gegeben hat, sendet Consent Mode "cookieless Pings" an Google, die aggregierte, modellierte Daten liefern, ohne einzelne Nutzer zu identifizieren.

TCF 2.2 und das IAB Framework

Das Transparency and Consent Framework (TCF) Version 2.2, verwaltet vom Interactive Advertising Bureau (IAB), ist ein standardisiertes Protokoll zur Kommunikation der Nutzereinwilligung an Werbeanbieter. Wenn du programmatische Werbung auf deiner Seite schaltest (Google AdSense, Header Bidding, Werbenetzwerke), sollte deine Consent-Loesung TCF 2.2 unterstuetzen. Das stellt sicher, dass Werbenetzwerke Consent-Signale in einem standardisierten Format erhalten, das sie verarbeiten koennen.

Nicht alle kostenlosen Consent-Plugins unterstuetzen TCF 2.2. Complianz bietet TCF-Support in der Premium-Version. CookieYes bietet TCF 2.2 ebenfalls in den kostenpflichtigen Plaenen an. Wenn du auf Werbeeinnahmen angewiesen bist, lohnt sich die Investition.

Google Analytics und Tag Manager mit Consent handhaben

Das gaengigste Setup laedt den Google Tag Manager (GTM) mit Consent Mode v2 im Standardzustand und aktualisiert den Consent, wenn der Nutzer mit dem Banner interagiert. Hier ist das Muster:

<!-- GTM mit Standard-Consent-Status laden (verweigert) -->
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('consent', 'default', {
  'analytics_storage': 'denied',
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'wait_for_update': 500
});
</script>

Dein Consent-Plugin ruft dann gtag('consent', 'update', {...}) auf, wenn der Nutzer akzeptiert. Wenn du eines der empfohlenen WordPress-Plugins verwendest, wird das automatisch gehandhabt. Du musst diesen Code nicht manuell schreiben.

Cookies deiner Seite manuell auditieren

Bevor du eine Consent-Loesung einrichtest, hilft es zu wissen, welche Cookies deine Seite genau setzt. So fuehrst du ein Audit durch:

  1. Oeffne deine Seite in einem Inkognito-Browserfenster.
  2. Oeffne die DevTools (F12) und gehe zum Tab "Application" (Chrome) oder "Speicher" (Firefox).
  3. Unter Cookies klicke auf deine Domain. Notiere jeden Cookie-Namen, seine Domain, das Ablaufdatum und ob er HttpOnly oder Secure ist.
  4. Navigiere durch mehrere Seiten, einschliesslich Seiten mit eingebetteten Inhalten (YouTube-Videos, Google Maps, Social-Media-Feeds). Jede Interaktion kann zusaetzliche Cookies setzen.
  5. Pruefe auch localStorage und sessionStorage, da diese ebenfalls von der ePrivacy-Richtlinie abgedeckt sind.
  6. Nutze den Network-Tab deines Browsers, um zu identifizieren, welche Anfragen Cookies setzen (suche nach Set-Cookie Response-Headern).

InspectWP kann bei diesem Audit helfen. Fuehre einen Scan durch und pruefe den Cookie-Bereich, der alle waehrend des Crawls erkannten Cookies auflistet.

Haeufige Cookie-Consent-Fehler, die zu Bussgeldern fuehren

Europaeische Datenschutzbehoerden haben erhebliche Bussgelder fuer Cookie-Verstoesse verhaengt. Hier sind die haeufigsten Fehler, die du vermeiden solltest:

  • Vorangekreuzte Einwilligungskaestchen: Der EuGH (Europaeischer Gerichtshof) hat im Planet49-Fall (2019) entschieden, dass vorangekreuzte Kaestchen keine gueltige Einwilligung darstellen. Jede nicht-essenzielle Kategorie muss Opt-in sein.
  • Cookie-Walls: Den Zugang zu deiner Seite zu blockieren, wenn Nutzer nicht alle Cookies akzeptieren, gilt als Noetigung und macht die Einwilligung ungueltig. Nutzer muessen auf deine Inhalte zugreifen koennen, auch wenn sie alle nicht-essenziellen Cookies ablehnen.
  • Versteckte Ablehnen-Buttons: Den "Ablehnen"-Button klein, grau oder hinter einem "Einstellungen verwalten"-Link zu verstecken, waehrend der "Alle akzeptieren"-Button gross und farbig ist, ist ein Dark Pattern. Die franzoesische CNIL hat Google 150 Millionen Euro Bussgeld unter anderem dafuer auferlegt. Beide Buttons sollten gleich sichtbar sein.
  • Kein Widerruf moeglich: Nutzer muessen ihre Cookie-Praeferenzen jederzeit aendern koennen. Fuege einen dauerhaften Link oder ein Icon (oft ein kleines Schild- oder Cookie-Icon in der Ecke) hinzu, das den Consent-Dialog erneut oeffnet.
  • Cookies setzen vor der Einwilligung: Wenn dein Analytics-Skript feuert, bevor das Consent-Banner ueberhaupt angezeigt wird, verstoeßt du gegen das Gesetz, egal wie schoen dein Banner aussieht. Nutze die DevTools deines Browsers, um das Timing zu ueberpruefen.
  • Eingebettete Inhalte ignorieren: YouTube-Embeds, Google-Maps-Iframes und Social-Media-Widgets setzen alle Cookies. Du musst diese blockieren, bis die Einwilligung erteilt wird, typischerweise indem du das Embed durch einen Platzhalter ersetzt.

Cookie-Consent-Implementierung testen

Nach der Einrichtung deiner Consent-Loesung teste sie gruendlich:

  1. Oeffne deine Seite im Inkognito-Modus. Das Consent-Banner sollte sofort erscheinen.
  2. Vor der Interaktion mit dem Banner pruefe die DevTools auf Cookies. Du solltest nur unbedingt erforderliche Cookies sehen.
  3. Klicke "Alle ablehnen." Es sollten keine Analytics- oder Marketing-Cookies gesetzt werden. Navigiere durch mehrere Seiten, um das zu bestaetigen.
  4. Loesche die Cookies und lade neu. Klicke "Alle akzeptieren." Ueberpruefe, ob Analytics- und Marketing-Skripte jetzt korrekt laden.
  5. Loesche die Cookies erneut. Klicke "Einstellungen verwalten" und akzeptiere nur Analytics. Stelle sicher, dass Marketing-Cookies nicht gesetzt werden, aber Analytics-Cookies schon.
  6. Suche nach der Moeglichkeit, die Einwilligung zu widerrufen. Klicke darauf und ueberpruefe, ob nicht-essenzielle Cookies entfernt werden.

Cookie-Setup mit InspectWP ueberpruefen

Fuehre einen InspectWP-Scan durch, um eine vollstaendige Liste der Cookies zu sehen, die deine Seite beim Seitenaufruf setzt. Der DSGVO-Bereich markiert Drittanbieter-Cookies und externe Ressourcen, die moeglicherweise eine Einwilligung erfordern. Wenn du Google-Analytics-Cookies, Facebook-Cookies oder andere Tracking-Cookies im InspectWP-Bericht siehst, ueberpruefe, ob deine Consent-Loesung sie vor der Einwilligung korrekt blockiert. Bedenke, dass InspectWP deine Seite crawlt, ohne Cookie-Consent zu erteilen. Jedes Tracking-Cookie, das im Bericht erscheint, deutet auf ein moegliches Compliance-Problem hin.

Vorheriger Artikel

PHP-Version bei deinem WordPress-Hosting aktualisieren

Nächster Artikel

Überschriften-Hierarchie in WordPress korrigieren

Verwandte Artikel

XML-Sitemap in WordPress erstellen

WordPress Debug-Log absichern

WordPress-Versionsnummer verstecken

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren